数通365案例 | NetEngine 5000E集群助力北京联通打造安全、智能的IP网络边界

近年来网络安全事件频发，有因为误操作引起的路由泄露事件，也有因黑客等原因引起的路由劫持事件。据MANRS路由安全统计数据显示，每年全球累计发生数千起BGP路由安全事件，给运营商和相关企业带来难以估量的经济损失。此前某大型互联网公司的数据中心发生路由泄漏事故，但其后果却漂洋过海，导致邻国互联网因为拥塞中断数个小时。

随着5G和云时代的到来，网络应用与流量规模蓬勃发展，对IP网络的基础设施安全提出了更高的挑战。BGP作为域间路由协议，是各大运营商互通信息的桥梁，由于BGP协议的设计是基于信任机制的，使得虚假或错误的路由信息也会在网络间传播，给网络带来不安全和不稳定的因素，一旦出现问题，影响面可达到全球级别。由于缺乏有效的监控手段，出现问题后难以回溯，运营商在处理相关事故时偏被动，多数情况下由用户投诉或事件触发，在排查、定位故障时依赖专家经验，尤其在跨运营商场景下，可能需要耗时数天才能排除故障。

针对此类问题，中国联合网络通信有限公司北京市分公司（以下简称“北京联通”）与华为公司进行解决方案创新，在核心路由器NetEngine 5000E-20上成功部署了智能路由安全解决方案。该解决方案凭借对域内/跨域节点千万级路由信息的多维智能分析、智能防御和历史路由变化一键回溯等核心能力，实现了对路由安全风险的精准识别、主动防御，有效提升网络韧性，助力北京联通构筑安全、智能的IP网络边界。

华为路由安全解决方案，通过BMP（BGP Monitoring Protocol）协议机制拓展了BGP路由监控能力，保证了针对不同BGP 邻居路由收发分析的全面性和准确性，结合华为融合管控析平台iMaster NCE（以下简称“NCE”）的智能管控能力，实现路由变化实时采集及可视化呈现，具备千万级的路由处理能力，充分满足大型网络应用场景。

通过智能、全面的分析路由异常波动、明细路由突现等异常情况，支持按需设置告警类别及阈值，路由告警结合网络拓扑可视化呈现。异常路由定位迅速、准确，将路由防护从问题驱动升级到主动发现，极大提升了网络边界的安全性。

在城域网/IDC等出口位置，每天路由更新量大，路由变化频繁，由此引发的业务质量问题难于回溯和定位。华为路由安全解决方案可根据BGP路由属性、路由前缀特征等多维信息组合查询，数据实时刷新，可随时查看历史数据，定位时间从天级降低到小时级，显著提升路由故障处理效率。

在5G和云计算蓬勃发展的大背景下，路由安全解决方案能够为各种层出不穷的新业务提供全面、智能化的安全防护，是智能IP网络领域创新又一成功实践。未来，双方将通力合作，继续在安全可信领域加大创新投入，共筑网络安全边界，携手打造高效安全的新型ICT基础设施。